Dentro de los ciberataques que no requieren apenas acciones de los usuarios, tenemos los ataques drive by downloads. Este tipo de amenaza aprovecha y explota ciertas vulnerabilidades y el desconocimiento o descuido de los usuarios para cargar en el ordenador las víctimas algún malware y llevar a cabo diferentes tipos de ataque. En este artículo explicaremos qué es un drive-by-download, cómo funciona y cómo podemos protegernos de ellos.
¿Qué son los ataques drive by downloads?
Un drive-by download attack, o ataque drive by download es una descarga automática de software o malware en el dispositivo del usuario sin el consentimiento ni conocimiento de este. Puede producirse cuando el usuario está navegando por un sitio web legítimo, llegar a través de un pop-up o anuncio malicioso que se muestra en un sitio seguro o, más habitual, en sitios web poco seguros o confiables.
Estas descargas no autorizadas normalmente aprovechan vulnerabilidades de los navegadores, de los sistemas operativos, de Java o de visores de archivos como Office o Adobe.
Tipos de ataques drive by download
Podemos hablar de dos tipos de ataques drive by download:
- Sin conocimiento del usuario: Ocurren cuando la descarga se produce completamente sin que el usuario se dé cuenta de ello, aprovechando, como hemos dicho, vulnerabilidades existentes en el SO, el navegador o los complementos. Es usual que las víctimas de estos ataques empleen programas o SO obsoletos o sin actualizar, lo que incrementa su exposición a las ciberamenazas. Es muy posible que la descarga incluso se lleve a cabo sin la intervención directa del usuario.
- Sin comprensión del usuario: En este tipo, el usuario sí autoriza la descarga, pero lo hace sin pleno conocimiento de lo que está descargando realmente. Normalmente, la carga maliciosa viene oculta en un software legítimo (por ejemplo, la falsa notificación de un antivirus que nos avisa de que nuestro equipo está infectado).
Objetivos de un ataque drive by download
Dentro de los diferentes tipos de ciberataques, lo que hace peligrosos a los ataques de drive by downloads es, por un lado, el que pueden pasar completamente desapercibidos, y por otro lado, que abren la puerta al despliegue de otros ataques, lo que puede resultar muy útil para conseguir acceso a redes internas de empresas, aprovechando la entrada desde el ordenador de un empleado y a través de él, iniciar un movimiento lateral para ganar acceso al resto de la red.
Los objetivos del ataque drive by download varían en función de las intenciones finales de los atacantes, de manera que también lo hace la carga útil que despliegan en los ordenadores las víctimas. Así, los objetivos finales más habituales son:
- Instalar spyware y recopilar información para llevar a cabo nuevos ataques en el futuro.
- Filtrar datos para venderlos en la dark web o pedir dinero a cambio para no publicarlos.
- Acceder a más sistemas, redes internas o cuentas de usuario o administrador.
- Integrar el dispositivo infectado en una botnet, como recurso para llevar otros ataques, como DDoS, o utilizarlo para la criptominería.
- Desplegar un ataque de ransomware.
- Bombardear a la víctima con adware.
¿Cómo funciona el ataque drive-by download?
Un ataque de drive-by download funciona siguiendo estos pasos:
- El cibercriminal inyecta un elemento malicioso en una web comprometida (puede ser una web legítima infectada con malvertising o una web fraudulenta que se hace pasar por una web real). Este elemento puede ser código JavaScript, un iFrame, un enlace, un anuncio malicioso o secuencias de comandos entre sitios (XSS).
- Cuando el usuario activa (inconscientemente) el elemento malicioso, este aprovechará alguna vulnerabilidad en una parte de la pila de software del ordenador del usuario. Como hemos dicho, puede ser el navegador, los complementos, el SO, etc. Los ataques más sofisticados pueden llevar a cabo «un reconocimiento» de la máquina infectada para determinar si prosiguen o no con el ataque (por ejemplo, pueden evitar entornos sandbox para evitar ser detectados y reconocidos).
- Una vez activado, el elemento malicioso procede a descargar otros archivos maliciosos en el dispositivo de la víctima.
- El siguiente paso es la ejecución de la carga útil de los archivos descargados en el paso anterior, de manera que se despliegue la siguiente fase del ataque, como puede ser que el cibercriminal se haga con el control remoto del dispositivo.
- Cuando el cibercriminal tiene control sobre el dispositivo infectado podrá, por ejemplo, robar información, hacerse con cuentas y contraseñas de usuarios y comenzar la fase de movimiento lateral para ganar acceso a la red interna u otros dispositivos conectados a esta.
Como decíamos, el ataque drive by download se usa para implementar otros malware en los equipos de las víctimas, como son por ejemplo:
- Troyanos, backdoors o rootkits con los que conseguir controlar de forma remota el dispositivo.
- Ransomware para bloquear el sistema o el equipo y filtrar información.
- Instalar herramientas de botnets.
- Goteros de malware, para seguir instalando programas maliciosos sin ser detectados.
- Herramientas Man in the Middle, para poder espiar las comunicaciones del usuario y robar sus credenciales.
- Registradores de teclas para hacerse con contraseñas.
Los ataques drive by downloads siguen dos vías para desplegar las siguientes fases del ataque:
A través de técnicas de ingeniería social
Suele recurrirse a falsos antivirus o notificaciones de antivirus, así como supuestas actualizaciones del sistema, para hacer que los usuarios descarguen el elemento malicioso creyendo que en realidad están bajando un programa legítimo. En este caso, es necesario que el usuario descargue activamente el malware, pero lo hará sin saber qué está descargando exactamente, como explicamos antes.
Explotando vulnerabilidades
La otra forma es conducir a la víctima hacia una página que contenga un kit de explotación o kit de exploits (estos actualmente se pueden adquirir en la dark web) y tienen el potencial de intentar varios tipos de ataques para poder infectar a sus objetivos.
Lo habitual es que estos kits de explotación busquen y aprovechen las vulnerabilidades en los software de las víctimas, para infectar el equipo y llevar a cabo el ataque. Las vulnerabilidades que explotan permiten que la descarga del malware se produzca sin conocimiento del usuario.
Protégete contra los ataques drive by downloads siguiendo estos consejos
Ahora que ya conocemos cómo funcionan los ataques drive by downloads, veamos cómo protegernos de ellos siguiendo varios consejos:
- Mantén todos los programas, complementos, aplicaciones, etc. de tu dispositivo actualizados a su última versión, para evitar vulnerabilidades conocidas que puedan aprovechar los cibercriminales.
- No uses programas obsoletos o que ya no cuentan con actualizaciones, si tienen alguna vulnerabilidad no solucionada, tendrás una puerta abierta al malware.
- Limita la superficie de ataque, es decir, si hay programas o complementos que ya no uses, desinstálalos y reduce el riesgo de que se queden obsoletos o no te acuerdes de actualizarlos.
- No navegues por sitios no seguros o que resulten sospechosos. Especialmente, si el enlace te llegó vía email o mensaje, comprueba la URL antes de entrar en el sitio.
- Cuando aparezca un pop-up de un antivirus o una actualización, antes de pulsar en él, comprueba que es legítimo. Una forma fácil de hacerlo es cerrar el navegador, si el pop-up desaparece, es que este no era legítimo. En ese sentido, ten cuidado con los anuncios emergentes, pueden estar manipulados e incluir malware o conducirte a un sitio para su descarga.
- Como siempre, se cuidadoso con los enlaces y archivos adjuntos que llegan a tu correo electrónico, especialmente de direcciones desconocidas. Siempre comprueba la URL del enlace y remitente del correo. Y si proviene de un conocido, pero te resulta sospechoso el contenido, toma precauciones y no descargues nada.
- Puedes usar bloqueadores de anuncios para evitar los anuncios maliciosos.
- También puedes recurrir a bloqueadores de secuencias de comandos que evitarán que JavaScript y otros scripts se ejecuten automáticamente, pero esto puede hacer que tu experiencia online sea menos fluida e incluso hacer que diferentes sitios web no funcionen, por lo que tendrás que autorizar aquellos en los que confíes manualmente. Es un trabajo extra, pero puede ayudarte a reducir ciertas ciberamenazas.